Categories
PHP Quiz Seguridad

Autenticación de usuarios y sesiones en PHP

Continuando con la pequeña serie de posts que intentan mostrar algunas fallas comunes que hacemos los aficionados a PHP, e incluso los que se dedican profesionalmente a desarrollar aplicaciones con este lenguaje, esta vez tocaremos el tema de sesiones.

user.php, necesita de la clase ezSQL, puedes saber mas sobre esta clase en este artículo.

php:

<?php

class User {
        var $id;
        var $name;
        var $email;
       
        function Authenticate($user, $password) {
                global $db, $site_key;

                $user = $db->get_row (
                        'SELECT id, name, email, password
                                FROM users
                                WHERE username = \''
. $db->escape($user) . '\'');
               
                if ( $user && $user->password == md5( $site_key . $password ) ) {                     
                        $this->id = $user->id;
                        $this->name = $user->name;
                        $this->email = $user->email;
                        return true;
                }
                return false;
        }
}

?>

php:

// login.php
<?php

include dirname(__FILE__) . '/db.php'; # genera una instancia de la clase ezSQL
include dirname(__FILE__) . '/user.php';

/*
if ( ! empty( $_SESSION['user'] ) ) {
        header( 'Location: /admin' );
        exit();
}
*/

if ( ! empty( $_POST['user'] ) && ! empty( $_POST['password'] ) ) {     
        $user = new User();
        if ( $user->Authenticate( $_POST['user'], $_POST['password'] ) === true ) {
                $_SESSION['user'] = $user;
               
                header( 'Location: /admin' );
                exit();
        }
}

?>

¿Qué problema existe en el código mostrado? -no es un error de sintáxis 😀

Nota: si eres testigo de otros errores 🙂 y quieres compartir esa información, no dudes en contactarnos (describe el problema, una posible solucion, si ya lo publicaste en tu blog, envíanos el link para comentar el problema y citar tu post)

Categories
AJAX JavaScript Seguridad

Ajax, flash, seguridad y demás yerbas

Como ya saben, las peticiones usando el objeto XMLHttpRequest -o su equivalente en IE-, están limitadas por defecto al mismo dominio.

Cuando el objeto XMLHttpRequest funciona en un navegador, se adopta la misma política de seguridad típica de JavaScript. Mozilla requiere envolver el objeto dentro de los privilegios de seguridad UniversalBrowserRead. IE, por otra parte, simplemente muestra una alarma al usuario de que una actividad potencialmente insegura puede continuar y ofrece una posibilidad para cancelar. El dominio de la URL de destino de la petición debe ser el mismo que el de la página que se visita. Esto quiere decir, que los scripts no pueden traer ni enviar datos a otras fuentes

Si no existiera dicha restricción, se harían más fáciles los ataques del tipo CSRF.

A cross-site request forgery (CSRF), although similar-sounding in name to cross-site scripting (XSS), is a very different and almost opposite form of attack. Whereas cross-site scripting exploits the trust a user has in a website, a cross-site request forgery exploits the trust a Web site has in a user by forging a request from a trusted user. These attacks are often less popular (so there are fewer resources available), more difficult to defend against than XSS attacks, and, therefore, more dangerous.

Bien, este tipo de restricciones también se aplican los applets de java y a las aplicaciones .NET embedidas como objetos ActiveX; para cambiar este comportamiento normalmente hay que configurar y dar los permisos adecuados en cada navegador.

En el caso de Flash, es un poco diferente, ya que para hacer peticiones HTTP desde un dominio A hacia otro B, es necesario que en B exista una regla que indique que el dominio A puede hacer llamadas a B, éstas reglas están definidas en un archivo denominado crossdomain.xml.

xml:

<cross-domain-policy>
    <allow-access-from domain="*"/> <!-- Permite el acceso desde cualquier dominio -->
</cross-domain-policy>

Hace algún tiempo, Chris Shiflett publicó unos artículos indicando la peligrosidad que podría tener este archivo así como también algunos sitios populares que eran vulnerables (Flickr, Youtube). El número de sitios que tienen o tenían este archivo -según google- son relativamente pocos, haciendo que sólo estos sitios sean posiblemente vulnerables a ataques CSRF.

Sin embargo, hoy ha sido publicado en Hardened PHP Project, una vulnerabilidad en Flash Player, que permite cargar las politicas de seguridad desde un documento xml malformado. Esto se logra gracias al método loadPolicyFile -que sirve para especificar una ruta alterna para crossdomain.xml- y una imagen GIF que contiene el texto xml mostrado arriba.

Vulnerable Applications

  • Applications that use a blacklist approach to only disallow dangerous HTML tags in text/html output
  • Applications that do not filter HTML tags because response is not text/html
  • Applications that allow fileupload/retrieval (e.g. avatars in bulletin boards)
  • Applications that contain PHP include vulnerabilities
  • Applications that contain file retrieval vulnerabilities

Policy.gif

00000000 47 49 46 38 39 61 01 01-01 01 e7 e9 20 3c 63 72  GIF89a.......<cr
00000010 6f 73 73 2d 64 6f 6d 61-69 6e 2d 70 6f 6c 69 63  oss-domain-polic
00000020 79 3e 0a 20 20 3c 61 6c-6c 6f 77 2d 61 63 63 65  y>...<allow-acce
00000030 73 73 2d 66 72 6f 6d 20-64 6f 6d 61 69 6e 3d 22  ss-from domain="
00000040 2a 22 2f 3e 20 0a 20 20-3c 2f 63 72 6f 73 73 2d  *"/>....</cross-
00000050 64 6f 6d 61 69 6e 2d 70-6f 6c 69 63 79 3e 47 49  domain-policy>..

Posiblemente un gran número de aplicaciones sean afectados por este problema.

Referencias

Categories
Seguridad Varios

Recupera tus contraseñas almacenadas con MD5

Seguramente algunas de las siguientes páginas les servirán cuando tengan la necesidad de romper un hash MD5.

De todos los sitios mostrados, solamente he utilizado los cuatro primeros, pero con resultados bastante satisfactorios... 😀

Fuentes: Online MD5 Crackers, Rainbowcrack Tables, Google

Categories
Expresiones Regulares Seguridad Varios

Google Code Search

Muchos ya han comentado sobre el nuevo servicio que hace unos días salió a la luz.

Si bien es cierto que ésta funcionalidad de buscar código no es nueva, lo más interesante de este servicio es que se puede buscar usando expresiones regulares, y gracias a esta característica se pueden encontrar fácilmente, como muestra Chris Shiflett, las fallas de seguridad típicas.

Seguramente este tipo de búsquedas, hará que muchas aplicaciones con estas fallas se vean afectadas.

Categories
Seguridad

Tip: Contraseñas y MD5

Si desean almacenar contraseñas de tus usuarios con MD5, preferentemente apliquenlo sobre la concatenación de uno o más valores.

php:

$key = '20j7'; // es mejor si contiene caracteres especiales
// ...
$hash = md5 ($key . $email . $password)

Esto último hace que sea mucho más dificil que las contraseñas puedan ser crackeadas por este tipo de herramientas o páginas.